-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2015-4701 JPCERT/CC 2015-12-09 <<< JPCERT/CC WEEKLY REPORT 2015-12-09 >>> ―――――――――――――――――――――――――――――――――――――― ■11/29(日)〜12/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に複数の脆弱性 【2】Drupal に脆弱性 【3】EC-CUBE 用プラグイン「管理画面表示制御プラグイン」に SQL インジェクションの脆弱性 【4】p++BBS にクロスサイトスクリプティングの脆弱性 【5】フレーム高速チャットにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】JAIPA が「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン(第4版)」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr154701.html https://www.jpcert.or.jp/wr/2015/wr154701.xml ============================================================================ 【1】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity OpenSSL Patches Multiple Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2015/12/03/OpenSSL-Patches-Multiple-Vulnerabilities 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が、サービス 運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 1.0.2e より前のバージョン - OpenSSL 1.0.1q より前のバージョン - OpenSSL 1.0.0t より前のバージョン - OpenSSL 0.9.8zh より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョン に OpenSSL を更新することで解決します。詳細は、開発者が提供する情報を 参照してください。 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [3 Dec 2015] https://www.openssl.org/news/secadv/20151203.txt 【2】Drupal に脆弱性 情報源 Drupal Security advisories Drupal core - Critical - Remote installation PSA-2015-001 https://www.drupal.org/PSA-2015-001 概要 Drupal には、インストールが完了しておらず、install.php がインターネット からアクセス可能な状態になっている場合、遠隔の第三者が任意のデータベース を指定してインストールを完了させる可能性があります。結果として、遠隔の 第三者が任意のデータベースを使用し、サーバ上でコードを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Drupal 6 core - Drupal 7 core - Drupal 8 core この問題は、Drupal のインストールを完了させた後に install.php を削除す ることで解決します。詳細は、Drupal が提供する情報を参照してください。 【3】EC-CUBE 用プラグイン「管理画面表示制御プラグイン」に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#55545372 EC-CUBE 用プラグイン「管理画面表示制御プラグイン」における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN55545372/ 概要 EC-CUBE 用プラグイン「管理画面表示制御プラグイン」には、SQL インジェク ションの脆弱性があります。結果として、ログイン可能なユーザが、SQL 文を 実行する可能性があります。 対象となるバージョンは以下の通りです。 - 管理画面表示制御プラグイン (2.13系) Ver1.0 およびそれ以前 - 管理画面表示制御プラグイン (2.12系) Ver2.0 およびそれ以前 この問題は、ボクブロック株式会社が提供する修正済みのバージョンに管理画 面表示制御プラグインを更新することで解決します。詳細は、ボクブロック株 式会社が提供する情報を参照してください。 関連文書 (日本語) 管理画面表示制御プラグイン (2.13系) リリースノート セキュリティに配慮した最新版1.1リリース(2015/11/27) https://www.ec-cube.net/products/detail.php?product_id=781#release 管理画面表示制御プラグイン (2.12系) リリースノート セキュリティに配慮した最新版2.1リリース(2015/11/27) https://www.ec-cube.net/products/detail.php?product_id=288#release 【4】p++BBS にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#72891124 p++BBS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN72891124/ 概要 p++BBS には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - p++BBS v4.05 およびそれ以前 この問題は、レッツPHP! が提供する修正済みのバージョンに p++BBS を更新 することで解決します。詳細は、レッツPHP! が提供する情報を参照してくだ さい。 関連文書 (日本語) レッツPHP! p++BBS http://php.s3.to/bbs/bbs2.php 【5】フレーム高速チャットにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#35845584 フレーム高速チャットにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN35845584/ 概要 フレーム高速チャットには、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - フレーム高速チャット 2015/09/22 より前のバージョン この問題は、レッツPHP! が提供する修正済みのバージョンにフレーム高速 チャットを更新することで解決します。詳細は、レッツPHP! が提供する情報 を参照してください。 関連文書 (日本語) レッツPHP! フレーム高速チャット http://php.s3.to/chat/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JAIPA が「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン(第4版)」を公開 2015年11月30日、日本インターネットプロバイダー協会 (JAIPA) は、「電気 通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン (第4版)」を公開しました。このガイドラインは、サイバー攻撃や迷惑メール などによって起こる不正な通信の対処を、関係法令に留意しつつ実施するため の参考資料として、2007年5月に策定され、その後のインターネット環境を巡 る環境変化などを踏まえ改訂されてきました。 今回の改訂では、2015年9月9日に総務省が公表した「電気通信事業におけるサ イバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」を踏 まえ、DNS の機能を悪用した DDoS 攻撃への対処や C&C サーバとの通信の遮 断などについて、追加・修正がなされています。 参考文献 (日本語) 一般社団法人日本インターネットプロバイダー協会 電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン https://www.jaipa.or.jp/other/mtcs/guideline_v4.pdf 一般社団法人日本インターネットプロバイダー協会 電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について https://www.jaipa.or.jp/topics/2015/11/post.php 総務省 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」及び意見募集の結果の公表 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000100.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2015 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWZ3H2AAoJEDF9l6Rp7OBIoSYIAKKqhwqlBil9S67gDF3TtctI oVSTgVE01AlZI4DmD1HFBorsnHUGpu2Q2ijVVTp/NMAvmtqb2XFsXN2k1zba6iYk AF0jJ4MCTg1uJ8cefcbFo2mFWnxHhL1nFNYDcruwkLVHNCnj/6oJa5sf41zIVurn 1bcqoEJhAPNM5DioYYHKwrh0P0MLFYxPoBBchOeskfGgeSkTePJCls8ddXPxWiv7 5ilm8KgN76uZXA/rc2Rnekauh+hES56KN7DSNIG66BqRNGfGEeHQ8ZMBVlBcTypg Caum7avhVSxFNSZdiLroPU03vZE7onD8Ufn0GOIN12m5ToBhHjBQyrATD8pj2Tg= =hw7U -----END PGP SIGNATURE-----